---
layout: ja-JP/default
title: Rustセキュリティポリシー &middot; プログラミング言語Rust
---

<h1>Rustセキュリティポリシー</h1>

<h2>バグを報告する</h2>

<p>安全性はRustの基本原則の1つです。そのため、我々はRustの実装が安全であることを保証したいと思っています。問題を発見されたときは、責任ある開示を行って頂ければ幸いです。</p>

<p>Rustの配布物のあらゆるセキュリティのバグは<a href="mailto:security@rust-lang.org">security@rust-lang.org</a>へのメールで報告するべきです。
このバグリストは少人数のセキュリティチームに届きます。メールは24時間以内に確認され、48時間以内にその報告への対策などさらに詳細な内容のメールが届きます。
<a href="../rust-security-team-key.gpg.ascii">我々の公開鍵</a>を使ってメールを暗号化することも可能です。
鍵は<a href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0xEFB9860AE7520DAC">MITの鍵サーバ</a>にありますし、<a href="#key">下記もされています</a>。</p>

<p>このメールアドレスには大量のスパムが届くので、報告が見逃されることがないように確実に内容がひと目で分かるタイトルをつけてください。
報告に対する最初の返信後、セキュリティチームは問題の修正および最終的なアナウンスに向けて行動を開始し、その進捗を通知するように努力します。
<a href="https://en.wikipedia.org/wiki/RFPolicy">RFPolicy</a>に推奨されているように、これらの報告は少なくとも5日間隔で送られます。
実際には24〜48時間毎に送られるはずです。</p>

<p>もし48時間以内に返信がない、あるいは直近5日でセキュリティチームからの音信がない場合はいくつか手段があります。</p>

<ul>
    <li>現職のセキュリティコーディネータの (<a href="mailto:steve@steveklabnik.com">Steve Klabnik</a>
        (<a href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0xDAE717EFE9424541">public key</a>)) に直接連絡を取る。</li>
    <li>バックアップの連絡先の (<a href="mailto:andersrb@gmail.com">Brian Anderson</a>
        (<a href="https://pgp.mit.edu/pks/lookup?op=vindex&amp;search=0x16457A6368CFF26F">public key</a>)) に直接連絡を取る。</li>
    <li><a href="https://internals.rust-lang.org/">インターナルフォーラム</a>に投稿するかirc.mozilla.orgの#rust-internals IRCルームで尋ねる。</li>
</ul>

<p>ディスカッションフォーラムと#rust-internals IRCチャネルは公の場であることに注意して下さい。
このような場所に上がる時に問題そのものには言及しないで下さい。
ただセキュリティチームのメンバーを捕まえたいとだけ言って下さい。</p>

<h2>公開ポリシー</h2>

<p>Rustプロジェクトには5段階の公開プロセスがあります。</p>

<ol>
<li>セキュリティレポートが受理され担当者が任命される。担当者は修正とリリースプロセスを調整する。</li>

<li>問題が確認され、全ての影響のあるバージョンが確定する。</li>

<li>潜在的に似たような問題が起きないかコードが監査される</li>

<li>まだメンテナンスされている全てのリリースへの修正が準備される。
この修正は公開レポジトリへはコミットされず、アナウンスまでローカルに保持される。</li>

<li>解禁日に<a href="https://groups.google.com/forum/#!forum/rustlang-security-announcements">Rustセキュリティメーリングリスト</a>にアナウンスが送られる。
変更は公開レポジトリにpushされ、新しいビルドがrust-lang.orgにデプロイされる。メーリングリストに通知されてから6時間以内にRust blogに勧告が掲載される。</li></ol>

<p>このプロセスは時間がかかることもあります。とりわけ他のプロジェクトのメンテナとの調整が必要な時には。
バグへの対応を可能な限り適切なタイミングで為すことに尽力しますが、公開が一貫した方法で処理されることを保証するために上記のリリースプロセスに従うことは重要です。</p>

<h2>セキュリティアップデートを受ける</h2>

<p>全てのセキュリティのアナウンスを受け取る最善の方法は<a href="https://groups.google.com/forum/#!forum/rustlang-security-announcements">Rustセキュリティアナウンスメーリングリスト</a>を購読することです。
このメーリングリストはあまり流量はなく、解禁日に即座に公開通知が届きます。</p>

<h3>更新通知</h3>

<p>脆弱性の報告を解禁の72時間前に<a href="http://oss-security.openwall.org/wiki/mailing-lists/distros">distros@openwall</a>に通知しますので、Linuxディストリビューションはパッケージをアップデート出来ます。</p>

<h2>このポリシーへのコメント</h2>

<p>もしこのポリシーへの改善を提案したいなら、<a href="mailto:security@rust-lang.org">security@rust-lang.org</a>にメールを送って下さい。</p>

<h2 id="key">プレーンテキストのPGP鍵</h2>

<pre><code>{% include rust-security-team-key.gpg.ascii %}</code></pre>
